神秘郵件
前幾天,公司HR在群里發(fā)來(lái)了一條消息,說(shuō)收到一封非??梢傻暮?jiǎn)歷郵件。
不枉公司三令五申的信息安全意識(shí)培養(yǎng),咱們的HR小姐姐能有這樣的敏銳意識(shí),得給她點(diǎn)個(gè)贊!
最近部門(mén)確實(shí)在進(jìn)行人員招聘,也進(jìn)行了大量的招聘宣傳,每天都要收到不少的簡(jiǎn)歷郵件,但這封郵件卻透露著些許古怪。
郵件的正文沒(méi)有任何信息,只有一個(gè)附件:簡(jiǎn)歷.pdf
首先,咱們正常人投個(gè)簡(jiǎn)歷,怎么著也會(huì)在正文中簡(jiǎn)單介紹一下自己吧?誰(shuí)會(huì)像這樣直接留白呢?
其次,附件簡(jiǎn)歷的文件名一般都會(huì)包含職位、名字等信息吧?就像小L-安全研發(fā)工程師-個(gè)人簡(jiǎn)歷.pdf,誰(shuí)會(huì)直接就叫“簡(jiǎn)歷”?。?/p>
沙箱分析
拿到這個(gè)pdf文件,別急著打開(kāi),弄到虛擬機(jī)沙箱中,看一下這貨能不能現(xiàn)出原形。
pdf文件打開(kāi)一切看起來(lái)正常,確實(shí)像是一封真實(shí)的簡(jiǎn)歷,就連應(yīng)聘人的需求都是匹配的,但查證后發(fā)現(xiàn),其中的聯(lián)系方式全都是虛構(gòu)的,簡(jiǎn)歷內(nèi)容基本是網(wǎng)絡(luò)找來(lái)東拼西湊+虛構(gòu)偽造出來(lái)的。
再來(lái)看一下樣本的行為分析,看看有沒(méi)有什么可疑的行為。
我嘞個(gè)去!不看不知道,這家伙居然釋放了一個(gè)程序出來(lái)到臨時(shí)文件夾,然后把它給執(zhí)行了起來(lái)!
去臨時(shí)文件夾中試圖找到這個(gè)文件,結(jié)果發(fā)現(xiàn)文件沒(méi)了:
看來(lái)這家伙有點(diǎn)能耐啊!
臨時(shí)寫(xiě)了個(gè)腳本,在虛擬機(jī)后臺(tái)運(yùn)行,不斷檢測(cè)備份臨時(shí)文件夾下的文件。
再一次跑了一下樣本文件,總算把這個(gè)釋放出來(lái)的exe給逮住了。
逆向分析
接下來(lái)送它進(jìn)反匯編神器IDA,扒掉這家伙的底褲。
打開(kāi)一看,好家伙,我直呼好家伙!也不加個(gè)殼啥的,直接裸奔,連基本的指令優(yōu)化都沒(méi)開(kāi),這還不給我扒個(gè)底朝天。
很快,我發(fā)現(xiàn)了一個(gè)有意思的地方:
這貨在遍歷文件目錄,像是在搜索什么東西。
找到文件過(guò)濾的地方,這里是一個(gè)數(shù)組,在遍歷尋找數(shù)組中的內(nèi)容。
接下來(lái),看一下過(guò)濾的字符串,高能來(lái)了!?。?/p>
居然在找簡(jiǎn)歷、offer、工程師關(guān)鍵字的文件?。。?/p>
這是什么騷操作?
后面還有一段邏輯,是檢測(cè)文件的MD5,防止把自己人“簡(jiǎn)歷.pdf”當(dāng)做了目標(biāo)。
拿到文件后呢,接著追溯起來(lái),代碼找起來(lái)太慢了,還是放沙箱里面抓行為吧。
把這個(gè)exe再一次送進(jìn)沙箱分析,來(lái)看一下網(wǎng)絡(luò)請(qǐng)求。
遺憾的是,并沒(méi)有發(fā)現(xiàn)有網(wǎng)絡(luò)請(qǐng)求,猜測(cè)是沒(méi)有拿到目標(biāo)文件所以沒(méi)有傳送?
于是我又構(gòu)造了一個(gè)假的Java研發(fā)工程師.pdf文件,來(lái)釣釣魚(yú)。
再來(lái)一次,果不其然,魚(yú)兒上鉤了,這一次抓到了一個(gè)網(wǎng)絡(luò)請(qǐng)求:
一個(gè)神秘的域名DNS解析!限于沙箱的隔離環(huán)境,這個(gè)請(qǐng)求實(shí)際上并沒(méi)有成功,所以也就沒(méi)有后續(xù)對(duì)這個(gè)域名的請(qǐng)求了。
遺憾的是,這個(gè)域名現(xiàn)在已經(jīng)關(guān)閉了,沒(méi)法訪問(wèn),難道是別人先一步發(fā)現(xiàn)了嗎?
復(fù)盤(pán)
案情的全貌浮出了水面:
HR的郵箱收到了一個(gè)藏有木馬的《簡(jiǎn)歷.pdf》文件,文件打開(kāi)后會(huì)釋放并執(zhí)行一個(gè)木馬程序xxx.exe(隨機(jī)名)。
接著木馬會(huì)遍歷磁盤(pán)目錄,尋找文件名中包含簡(jiǎn)歷、offer、工程師三個(gè)關(guān)鍵字的文件。
拿到文件后,會(huì)通過(guò)網(wǎng)絡(luò)請(qǐng)求將拿到的文件發(fā)送出去!
究竟是誰(shuí)會(huì)做這樣的事?細(xì)思恐極!
責(zé)任編輯:xj
原文標(biāo)題:年輕人不講武德,居然在簡(jiǎn)歷中藏木馬
文章出處:【微信公眾號(hào):數(shù)據(jù)分析與開(kāi)發(fā)】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
-
編程
+關(guān)注
關(guān)注
88文章
3521瀏覽量
93268 -
木馬
+關(guān)注
關(guān)注
0文章
47瀏覽量
13304 -
源代碼
+關(guān)注
關(guān)注
96文章
2942瀏覽量
66444
原文標(biāo)題:年輕人不講武德,居然在簡(jiǎn)歷中藏木馬
文章出處:【微信號(hào):DBDevs,微信公眾號(hào):數(shù)據(jù)分析與開(kāi)發(fā)】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論